Informace o ve vybavení s rozhraním Thunderbolt, sjednocené pod kódovým označením a obejít všechny hlavní bezpečnostní komponenty Thunderbolt. Na základě zjištěných problémů je navrženo devět scénářů útoku, které se implementují, pokud má útočník lokální přístup do systému prostřednictvím připojení škodlivého zařízení nebo manipulace s firmwarem.
Scénáře útoku zahrnují schopnost vytvářet identifikátory libovolných Thunderbolt zařízení, klonovat autorizovaná zařízení, náhodný přístup k systémové paměti přes DMA a přepisovat nastavení úrovně zabezpečení, včetně úplné deaktivace všech ochranných mechanismů, blokování instalace aktualizací firmwaru a překladů rozhraní do režimu Thunderbolt na systémy omezené na přesměrování přes USB nebo DisplayPort.
Thunderbolt je univerzální rozhraní pro připojení periferních zařízení, které kombinuje rozhraní PCIe (PCI Express) a DisplayPort v jednom kabelu. Thunderbolt byl vyvinut společnostmi Intel a Apple a používá se v mnoha moderních laptopech a počítačích. Zařízení Thunderbolt založená na PCIe jsou vybavena DMA I/O, což představuje hrozbu útoků DMA za účelem čtení a zápisu celé systémové paměti nebo zachycení dat ze šifrovaných zařízení. Aby se zabránilo takovým útokům, Thunderbolt navrhl koncept úrovní zabezpečení, který umožňuje používat pouze uživatelsky autorizovaná zařízení a používá kryptografickou autentizaci připojení k ochraně proti padělání ID.
Identifikované zranitelnosti umožňují obejít takovou vazbu a připojit škodlivé zařízení pod maskou autorizovaného. Kromě toho je možné upravit firmware a přepnout SPI Flash do režimu pouze pro čtení, pomocí kterého lze zcela deaktivovat úrovně zabezpečení a zakázat aktualizace firmwaru (pro takové manipulace jsou připraveny nástroje и ). Celkem byly zveřejněny informace o sedmi problémech:
- Použití neadekvátních schémat ověřování firmwaru;
- Použití slabého schématu ověřování zařízení;
- Načítání metadat z neověřeného zařízení;
- Dostupnost mechanismů zpětné kompatibility, které umožňují použití rollback útoků na ;
- Použití neověřených konfiguračních parametrů regulátoru;
- Závady v rozhraní pro SPI Flash;
- Nedostatek ochranných prostředků na úrovni .
Tato chyba zabezpečení se týká všech zařízení vybavených Thunderbolt 1 a 2 (založený na Mini DisplayPort) a Thunderbolt 3 (založený na USB-C). Zatím není jasné, zda se problémy objeví v zařízeních s USB 4 a Thunderbolt 4, protože tyto technologie byly teprve oznámeny a zatím neexistuje způsob, jak jejich implementaci otestovat. Chyby zabezpečení nelze eliminovat softwarově a vyžadují přepracování hardwarových komponent. U některých nových zařízení je však možné pomocí mechanismu zablokovat některé problémy spojené s DMA , jejíž podpora se začala realizovat od roku 2019 ( v linuxovém jádře, počínaje verzí 5.0, můžete zkontrolovat zahrnutí pomocí „/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection“).
Pro kontrolu vašich zařízení je k dispozici Python skript , který vyžaduje spuštění jako root pro přístup k DMI, ACPI DMAR tabulce a WMI. Chcete-li chránit zranitelné systémy, doporučujeme, abyste systém nenechávali bez dozoru zapnutý nebo v pohotovostním režimu, nepřipojovali zařízení Thunderbolt někoho jiného, neopouštěli ani neposkytovali svá zařízení ostatním a zajistili, že jsou vaše zařízení fyzicky zabezpečena. Pokud Thunderbolt není potřeba, doporučuje se deaktivovat řadič Thunderbolt v UEFI nebo BIOS (to může způsobit, že porty USB a DisplayPort nebudou fungovat, pokud jsou implementovány prostřednictvím řadiče Thunderbolt).
Zdroj: opennet.ru